00[1]

Ancora novità nel mondo dei ransomware: il backup in cloud usato contro le vittime

Che il mondo dei ransomware stia cambiando è ormai un’evidenza da mesi: dal furto e pubblicazione dei dati delle vittime che non pagano il riscatto allo spostamento dell’obiettivo sulle aziende ed enti pubblici più che sugli utenti home, passando per l’ondata di attacchi mirati che ormai prosegue incessante negli Stati Uniti, i cambiamenti sono molti e i cyber attaccanti dimostrano di “sapere stare al passo coi tempi”.

Il backup resta però il vero ostacolo degli sviluppatori di ransomware. Questa è indubbiamente la difesa più efficace, ma se non è correttamente configurato questo strumento può diventare un vero e proprio boomerang. E’ quanto dimostra il ransomware DoppelPaymer, il cui autore, appena qualche giorno fa, ha pubblicato sul proprio sito allestito appositamente per il leak dei dati delle vittime non paganti, username e password del software di backup di una vittima che ha deciso di non cedere al ricatto.

Fonte: https://www.bleepingcomputer.com/

In questo caso, spiega Lawrance Abrams di Bleepingcomputer, queste informazioni non sono state diffuse ad altri per suggerire attacchi ulteriori, quanto per mettere in guardia la vittima rispetto al fatto che il ransomware è riuscito a fornire al proprio operatore l’accesso completo alla rete, compreso quello al backup.

Abrams ha contattato l’operatore del ransomware DoppelPaymer (che poi è lo stesso del famigerato ransomware Maze) per capire come fosse riuscito a colpire il backup della vittima. La ricostruzione si basa sul software di backup Veeam, molto diffuso negli Stati Uniti per i backup aziendali, ma potrebbe valere per qualsiasi soluzione di backup.

Come è avvenuto l’attacco
Nel corso dell’attacco, l’operatore di DoppelPaymer ha compromesso un host: ovviamente non ha specificato se tramite phishing, malware o attaccando servizi di desktop remoto esposti. Una volta ottenuto l’accesso alla macchina, ha proceduto alla diffusione laterale lungo la rete, fino ad ottenere l’accesso alle credenziali di amministrazione e al domain controller. Usando poi tool come Mimikats, ha proceduto al dump delle credenziali dall’active directory.

Abrams conferma che questo è più che sufficiente per avere accesso al software di backup dato che alcuni configurano Veeam per usare l’autenticazione Windows. Se l’account di backup in cloud è così configurato, l’attaccante può ottenere l’accesso al backup in cloud. L’operatore di DoppelPaymer non ha specificato come ha ottenuto le credenziali del backup, ma è evidente che è riuscito a farlo. I mezzi possibili sono molti: keylogger, attacchi di phishing, lettura della documentazione salvata localmente sul server di backup ecc…

Fonte: https://www.bleepingcomputer.com/

A questo punto l’attaccante ha usato le credenziali dello storage in coud per ripristinare i dati della vittima in un server sotto il controllo degli attaccanti. La vittima non ha ricevuto quindi nessun avviso, dato che i server sembravano funzionare normalmente. Indipendentemente dall’uso che potrà fare l’attaccante dei dati ottenuti tramite il backup in cloud, è certo che prima di criptare tutti i dispositivi collegati alla rete, ha provveduto alla cancellazione dei backup impedendo così il ripristino dei dati.

“I backup in cloud sono un’ottima soluzione contro i ransomware, ma non proteggono al 100%. Questo perchè molto spesso i backup non sono ben configurati, i backup offline sono spesso obsoleti e il fattore umano lascia aperte molte strade”: queste sono le parole testuali dell’attaccante, inviate via email ad Abrams.

Proteggere i backup
Una corretta configurazione del backup può comunque mettere al riparo da un tipo di attacco così insidioso, dato che se un attaccante ottiene un accesso privilegiato sulla rete, tutto è a rischio. Anzitutto è utile che la distribuzione del software di backup non abbia accesso al web oppure che si trovi in una rete a gestione isolata. Inoltre è utile avere a disposizione più copie di backup disponibili su diversi supporti. E’ la cosiddetta regola del 3-2-1, tre copie dei dati su due supporti diversi, una delle quali conservata “lontana” dalle altre due: il cloud è un ottimo sistema per memorizzare la terza copia di backup.

Anche proteggere la rete, come si è visto, è fondamentale: software di monitoraggio della rete, sistemi di individuazione delle intrusioni e controllo degli accessi geografico e tramite IP sono altre utili soluzioni.

00[1]

Nuova versione del trojan bancario per Android Cerberus cattura il codice one-time di Google Authenticator

Sono stati i ricercatori di sicurezza di ThreatFabric a individuare una nuova versione del temibile trojan bancario per Android Cerberus e hanno immediatamente diramato un alert per avvisare gli utenti di Android, oltre ovviamente a segnalare a Google il problema. Questo appunto perchè la nuova versione del trojan, oltre a sottrarre i dati bancari, è in grado di intercettare la cosidetta OTP (one-time passcodes) generata da Google Authenticator e usata come sistema di autenticazione a due fattori per proteggere gli account online.

Cerberus è un malware as a service (MaaS) individuato nell’Agosto del 2019: per malware as a service intendiamo quei malware messi in affitto online, acquistabili (e spesso personalizzabili) dalla rete di affiliati che spartisce i guadagni ottenuti con gli sviluppatori del malware. Sono reti estese di affiliazione, che prevedono persino supporto e aggiornamenti: una rete di criminali “professionisti”.
La nuova versione, stando alle analisi di Threat Fabric che ne ha analizzato il codice, implementa funzioni simili a quelle di altri Rat (remote access trojan) per Android, consentendo all’operatore che gestisce il malware praticamente il pieno accesso al dispositivo. Il malware già implementava funzionalità di trojan bancario, ma non solo. Eccone le funzionalità principali:
eseguire screenshot;
registrare audio dal microfono del dispositivo;
registrare le digitazioni sul touch screen del dispositivo;
inviare, ricevere, cancellare SMS;
rubare la rubrica dei contatti;
inoltrare chiamate;
raccogliere informazioni dal dispositivo;
geolocalizzare e tracciare il dispositivo;
sottrarre credenziali di varie tipologie di account;
disabilitare Play Protect;
scaricare ulteriori app dannose e payload di altri malware;
rimuovere app dal dispositivo (quasi sempre soluzioni di sicurezza);
mostrare notifiche assillanti;
bloccare lo schermo del dispositivo.
La nuova funzione implementata mira precisamente al furto del codice di autenticazione a due fattori generato dall’app Google Authenticator abusando dei Privilegi di Accessibilità.

“Sfruttando i privilegi di Accessibilità. il trojan adesso può sottrarre anche i codici 2FA. Quando l’app è in esecuzione, il trojan è in grado di ottenere il contenuto dell’interfaccia e inviarlo al server C2. Indubbiamente questa funzionalità verrà usata per bypassare gli accessi sicuri a vari tipi di servizi che si basano sui codici OTP” dicono da Threat Fabric.

I ricercatori hanno anche setacciato il dark web in cerca di annunci e pubblicità di questa nuova funzionalità, che renderebbe sicuramente Cerberus molto più “ghiotto” per i cyber criminali, ma ad ora non ve n’è traccia. E’ molto probabile quindi che la nuova funzionalità sia in sperimentazione nella rete degli affiliati già presenti. Il report completo è consultabile qui.

00[1]

Prima campagna di email di spam a tema Coronavirus contro utenti italiani

Prima campagna di email di spam a tema Coronavirus contro utenti italiani Il C.R.A.M di TgSoft ha individuato e analizzato quella che risulta essere, ad ora, la prima campagna di email di spam per diffusione malware a tema Coronavirus contro utenti italiani. Campagne su questa tematica si sono già viste in tutto il mondo: ovviamente i primi colpiti sono stati paesi asiatici (Cina, Giappone, Corea del sud ecc…), ma mano a mano che l’ondata di panico si è diffusa a livello globale, anche le campagne di diffusione malware hanno iniziato ad allargare il bacino delle proprie vittime.

Per approfondire >> Il Coronavirus sbarca sul web: individuate decine di campagne di phishing che sfruttano la paura del virus

Sfruttare il panico da Coronavirus è “una tecnica vincente” per gli attaccanti, un utilizzo per loro assai profittevole delle tecniche di ingegneria sociale: le vittime infatti, di fronte ad una email scritta in corretto italiano e con riferimenti precisi all’Organizzazione Mondiale della Sanità (OMS), saranno facilmente indotti anche dal clima generale a seguire le istruzioni contenute nel testo.

Il campione di email pubblicato da TGSoft è visibile sotto:

Fonte: http://www.tgsoft.it/

L’email contiene un documento Word in formato .doc che viene presentato nel testo come un vademecum dell’OMS contenente le precauzioni da adottare contro il Coronavirus dato che “nella Sua zona sono documentati casi di infezione”. Il documento, che richiede l’abilitazione di una macro per poter visualizzare correttamente il contenuto, contiene in realtà un file JSE che appartiene alla famiglia dei malware Ostap: Ostap è un downloader JScript individuato per la prima volta nel 2016 ed è solitamente diffuso tramite archivi contenenti documenti Office per i quali viene richiesta l’abilitazione di una macro. Viene solitamente usato per la diffusione di malware bancari e di infostealer.

La versione individuata da TgSoft rimane attiva sul computer infetto, quindi inizia ad inviare una serie di dati esfiltrati dalla macchina verso il dominio https://45.128.134[.]14/C821al/vc2Tmy.php. Ad ora i dati esfilitrati e inviati al server C&C sono:
Nome Computer;
Nome PC;
IP in locale della macchina;
Modello della scheda di rete.
RICORDIAMO
che vi sono delle fonti ufficiali e attendibili dalle quali trarre informazioni e vademecum con le istruzioni di comportamento per la prevenzione e il controllo della diffusione del Coronavirus. Invitiamo a fare riferimento solo ed esclusivamente ai siti ufficiali dell’Organizzazione Mondiale della Sanità, del Ministero della Salute Italiano e della vostra Regione di residenza o domicilio.

01[1]

Coronavirus – la crisi preme l’acceleratore verso la digitalizzazione, per una vita più normale possibile: e-learning e smart working

Coronavirus – la crisi preme l’acceleratore verso la digitalizzazione, per una vita più normale possibile: e-learning e smart working

martedì 25 febbraio 2020

In seguito ai casi di contagio da Coronavirus registrati in Lombardia e Veneto il Consiglio dei Ministri ha varato un decreto legge emergenziale volto a contenere il rischio contagio ed evitare la comparsa di focolai a macchia di leopardo. Tra le numerose previsioni emergenziali, uno permette lo smart working anche senza l’accordo lavoratore azienda, come invece previsto dalla normativa vigente in tempi non emergenziali, la legge 81 del 2017. Il tutto nella volontà di arginare l’impatto che questa crisi potrebbe avere sulla nostra economia.

Il decreto fissa dei limiti temporali per lo smart working senza accordo, ovvero il 7 Marzo, e dei limiti geografici, ovvero nelle aree con attività lavorative sospese o limitate. Il Decreto Legge in oggetto è il n.6 del 23 Febbraio 2020, consultabile qui.

Una misura simile era già stata varata, in due diverse occasioni, sempre con limiti temporali: fu in occasione del tragico crollo del Ponte Morandi a Genova e dell’alluvione nel torinese.

In concreto
Il decreto legge stabilisce che, dove possibile, i lavoratori possono ricorrere allo smart working nelle regioni di Lombardia e Veneto senza accordo preventivo, contrariamente alla normativa vigente in termini di lavoro agile. La legge non prevede necessariamente un accordo sindacale, ma almeno un accordo tra il singolo lavoratore e l’azienda, più una comunicazione da inviare da parte del datore di lavoro al portale istituzionale del Ministero del Lavoro.

E gli studenti?
Gli studenti lombardi e veneti invece staranno a casa, ma alcuni avranno la possibilità di continuare a seguire i corsi online. Alcuni istituti infatti stanno organizzando lezioni in e-leraning: un esempio è l’isitituto Tosi di Busto Arsizio che da stamattina ha ripreso le lezioni via internet, tramite software di videoconferenza, con classico appello per le presenze e le assenze tutto via web. E’ stato infatti implementato nella scuola un innovativo sistema Mooc, acronimo che sta per Massive open online course. A Saronno il paritario Prealpi farà regolarmente lezione usando piattaforme come Skype e altre. Molte altre scuole invece, che già avevano previsto l’uso dei tablet nell’attività scolastica, hanno già ripreso le lezioni.

La Cina fa scuola: oltre 200 milioni di studenti accedono all’e-learning
In Cina il nuovo semestre scolastico sarebbe dovuto cominciare il 17 Febbraio, poco dopo la fine dei festeggiamenti del capodanno cinese. Il governo ha ovviamente rinviato l’inizio senza una data specifica, ma, in contemporanea ha inaugurato una piattaforma di e-learning su cloud nazionale così che gli insegnanti e gli studenti delle scuole primarie siano in condizione di riprendere a fare lezione. Insomma, anche a scuole chiuse 200 milioni di studenti stanno regolarmente procedendo nel loro percorso formativo.

Gli studenti delle elementari invece seguiranno le lezioni sui canali della TV di stato, mentre gli studenti delle scuole medie e superiori hanno a disposizione una piattaforma online con oltre 170 lezioni di 12 materie differenti: gli insegnanti faranno la loro aggiornando la piattaforma con nuovi materiali. L’utilizzo delle chat, a complemento di questa “rivoluzione digitale obbligata” del sistema scolastico cinese è aumentata dismisura: gli insegnanti danno indicazioni e inviano credenziali di accesso alle piattaforme via Wechat, la più popolare app di messaggistica cinese. L’università di Pechino invece offre 260 su 560 corsi di laurea via live streaming. Per questo il Governo cinese ha mobilitato i tre maggiori operatori di telecomunicazioni cinesi – ChinaMobile, China Unicom e China telecom, insieme a società tecnologiche come Huawei, Baidu e Alibaba, garantendo 90terabyte di larghezza di banda e settemila server.

Insomma in Italia e nel mondo il coronavirus ha posto alle economie e ai sistemi di istruzione grandi sfide che è possibile vincere grazie al ricorso alla tecnologia. Nella crisi di questi giorni la ferrea volontà di garantire lo svolgimento più normale possibile delle vite lavorative e scolastiche delle persone sta premendo l’acceleratore verso la digitalizzazione del nostro paese.

00[1]

Raffica di pagamenti non autorizzati su PayPal: che sta succedendo?

Raffica di pagamenti non autorizzati su PayPal: che sta succedendo?

mercoledì 26 febbraio 2020

Alcuni cyber attaccanti sembrano aver individuato un bug nell’integrazione di PayPal su Google Pay e lo stanno sfruttando attivamente per eseguire transazioni non autorizzate tramite account PayPal. E’ da venerdì scorso, infatti, che piovono segnalazioni di transazioni misteriose comparse nella cronologia di PayPal, tutte originate dai relativi account Google Pay.

La problematica viene ormai riportata da svariate piattaforme, dal forum di PayPal a Twitter a Reddit e persino sui forum di supporto russo e tedesco di Google Pay. La maggior parte delle vittime pare concentrarsi in Germania, mentre le transazioni illegali stanno avvenendo in larga parte su store statunitensi, sopratutto nei negozi della catena Target. I danni stimati vanno dalla decina alle migliaia di euro, stando alle segnalazioni fino ad esso disponibili, ma vi sono alcune transazioni che vanno ben oltre i 1.000 euro.

La preoccupazione principale è legata al fatto che ancora non è chiaro quale sia il bug che viene sfruttato e da Google si sono chiusi in un netto silenzio sulla faccenda, ma sia PayPal che Google hanno fatto sapere che le indagini sono già in corso.

Un ricercatore avanza una ipotesi
Se da PayPal e Google per adesso si brancola nel buio, il ricercatore di sicurezza Markus Fenske ha avanzato una ipotesi precisa: Fenske suggerisce che il problema potrebbe collegarsi ad una vulnerabilità che lo stesso ricercatore aveva già segnalato a PayPal un anno fa e che risiede nel meccanismo utilizzato per integrare PayPal in Google Pay. PayPal non ha mai ritenuto prioritario il fix di questo bug, che quindi potrebbe ancora essere presente.

Fenske spiega che il collegamento tra i due sistemi avviene tramite una carta di credito virtuale, dotata di numero, scadenza e CVV, che viene aggiunta a quelle collegate a Google Pay. Se gli attaccanti hanno messo le mani sui dati relativi a queste carte di credito virtuali, così generate, diviene per loro possibile eseguire transazioni. Se le carte virtuali fossero limitate alle transazioni POS, questa metodologia di furto non sarebbe possibile, ma PayPal consente che queste carte virtuali siano usate anche per transazioni online.
Per Fenske sono tre le vie tramite le quali gli attaccanti potrebbero avere avuto accesso ai dati delle carte virtuali: intercettando i dettagli della carta dal telefono / schermo di un utente, utilizzando un malware apposito che estrae questi dati dai dispositivi infetti oppure indovinandoli con un attacco di brute-forcing. E se la terza ipotesi è assai poco credibile, le altre due sono invece quantomeno verosimili.

Dal conto suo PayPal ha già iniziato i rimborsi delle transazioni fraudolente e, qualche ora fa, ha fatto sapere di aver risolto il problema, senza però dare alcuna spiegazione tecnica su come gli attaccanti siano riusciti ad eseguire queste transazioni.

01[1]

Aziende svizzere sotto attacco ransomware: il Governo se la prende con le aziende scarsamente protette e poco attente agli alert di cybersicurezza

Aziende svizzere sotto attacco ransomware: il Governo se la prende con le aziende scarsamente protette e poco attente agli alert di cybersicurezza

lunedì 24 febbraio 2020

Il Reporting and Analysis Centre for Information Assurance (MELANI) svizzero ha diramato, qualche giorno fa un alert per le aziende svizzere piccole, medie ma anche di grandi dimensioni riguardo ad una serie di attacchi ransomware tutt’ora in corso.

Secondo l’avviso emesso in collaborazione col Cert nazionale svizzero, gli attaccanti hanno richiesto alle aziende colpite riscatti che vanno dalle migliaia al milione di franchi svizzeri, poco meno di un milione di euro. Pare che, solo nelle ultime settimane, siano già dodici le aziende colpite, con criptazione dei dati e sistemi resi inutilizzabili.

Il Governo se la prende con le imprese
Le indagini del MELANI e del CERT svizzero riguardo i casi accertati di attacco hanno dato un responso chiaro: le aziende colpite non hanno implementato le pratiche di sicurezza raccomandate dal governo e ignorato i precedenti, a onor del vero numerosi, avvisi riguardo a questa tipologia di attacchi. Sono molti i governi infatti che, sulla scia della vera e propria cyberguerra che i ransomware hanno dichiarato, negli Stati Uniti, alle aziende e a svariati enti pubblici, stanno diramando alert riguardo la problematica e diffondendo chiare linee guida per la sicurezza dei sistemi aziendali, ponendolo come un problema di sicurezza nazionale.

L’organismo di sicurezza informatica del governo svizzero inoltre ha espresso una linea molto chiara su un punto, quello del pagamento del riscatto: è apertamente sconsigliato il pagamento del riscatto sia perchè non c’è alcuna garanzia di avere indietro i dati usando gli strumenti di decriptazione forniti dagli attaccanti, ma anche per evitare di fare “pubblicità” alle campagne di hacking. Inoltre cosa vieterebbe loro di lasciare aperta una backdoor su sistemi già colpiti, riattivabile magari a distanza di tempo? La nota del MELANI cita anche due malware che girano “in coppia” coi ransomware (anche in Italia) ovvero Emotet e TrickBot, minacce che restano attive sul sistema anche una volta riportati in chiaro i file criptati.

“E’ importantissimo che le aziende interessate da questi attacchi contattino immediatamente la polizia cantonale – spiega la nota del MELANI – sporgendo denuncia e concordando la procedura per affrontare l’incidente. Finchè vi sono aziende che pagano il riscatto, gli attaccanti non smetteranno mai di ricattare le aziende”. E cita il caso di alcune aziende ripetutamente colpite da attacchi ransomware in pochi mesi: è difficile immaginarsi il perchè di tanto accanimento su aziende che si dimostrano così facilmente disponibili al pagamento del riscatto?

Alcune note tecniche
La nota in oggetto è interessante anche perchè il Governo Svizzero vi ha inserito una serie di raccomandazioni tecniche legate direttamente ai risultati delle indagini svolte nelle aziende colpite. Eccone alcune:
protezione virus e sistemi di allerta: le aziende colpite in questa ondata di attacchi non hanno notato, o non hanno preso sul serio, i messaggi di alert delle soluzioni antivirus installate su server e reti;
protezione accessi remoti: i sistemi RDP di accesso da remoto hanno spesso password molto deboli, ingressi impostati su valori predefiniti (ad esempio la porta standard 3389) e senza alcuna restrizione di accesso (ad esempio reti VPN o filtri IP);
disinteresse verso le segnalazioni delle autorità: sono stati ignorati gli alert e i suggerimenti delle autorità e degli internet service provider, o quantomeno sono stati presi poco seriamente;
sistemi di backup: la quasi totalità delle aziende colpite disponeva di un sistema di backup online non disponibile offline. Sono quindi finiti criptati anche i backup, oppure rimossi completamente da funzionalità specifiche anti ripristino dei ransomware stessi;
patch e gestione vulnerabilità: alcune delle aziende colpite non prevedevano un meccanismo continuativo di patching e upgrading dei software in uso sui sistemi aziendali. E’ stata perfino riscontrata la presenza di software obsoleti o non più supportati;
nessuna segmentazione delle reti: le reti colpite non erano segmentate, ovvero non divise in più parti separate tra loro. L’infezione quindi non poteva essere contenuta e si è diffusa lungo tutta la rete;
eccesso di permissioni per gli utenti: si è riscontrata la pratica, assai diffusa, di concedere eccessive permissioni agli utenti, con assegnazione di permissioni che andrebbero riservati solo agli amministratori di rete.

Un flusso continuo di alert anti ransomware
Come detto poco fa, c’è ormai un flusso quasi continuo di alert, diramati dagli enti responsabili della cybersicurezza governativi e da soggetti privati, che cerca di sensibilizzare le aziende di tutte le dimensioni ad organizzarsi per minimizzare i rischi.

Solo l’FBI ne ha diramati due in pochi mesi: entrambi rivolti alle aziende, questi denunciano i rischi conseguenti alle campagne di diffusione dei ransomware LockerGoga, MegaCortex e Ryuk. Mentre un alert specifico è stato diramato sempre dall’FBI riguardo il tembilissimo ransomware Maze e la pratica dei suoi autori di rubare i dati prima della criptazione per poi pubblicarne piccole quantità al fine di aumentare la pressione ricattatoria sulle aziende vittime.

Di meno di 5 giorni fa è un alert specifico del Cybersecurity and Infrastructure Security Agency (CISA) che, in seguito ad un attacco ransomware che ha colpito un gasdotto mettendolo “fuori gioco” per due giorni, lancia il massimo allarme ransomware verso i sistemi di gestione di infrastrutture critiche.

01[1]

La Polizia Postale denuncia: +597% di cyberattacchi finanziari in appena due anni

Nel corso di un convegno organizzato dall’Università LUISS di Roma la Polizia Postale ha lanciato l’allarme cyber attacchi. Lo fa con le parole della direttrice della Polizia Postale, Nunzia Ciardi che, nel corso del suo intervento ha definito il cybercrimine finanziario come “una emergenza assoluta”.

I dati parlano chiarissimo e non lasciano spazio ad ambiguità: in due anni le denunce relative ad attacchi e frodi finanziarie informatiche sono aumentate del 579%. Con un preoccupante cambio di passo: il cyber crimine ormai non mira più soltanto ai privati cittadini (magari giocando sulla scarsa consapevolezza dell’utente medio in termini di sicurezza informatica) ma anche enti e piccole medie e imprese, spesso usate come “tappa intermedia” per accedere e attaccare i sistemi di aziende ben più grandi. Insomma, in poche parole, una concretissima minaccia alla nostra economia nazionale.

Nunzia Ciardi ha indicato un altro settore, oltre quello finanziario, particolarmente sottoposto ad attacchi: parliamo del settore sanitario. Tra il 2017 e il 2019 i furti di dati sanitari sono aumentati del 99%: i dati sanitari sono infatti tra i dati più remunerativi che un cyber attaccante può mettere in vendita nel dark web. E qui, ribadisce Ciardi, i cyber attaccanti hanno terreno libero: il passaggio dal cartaceo al digitale, con sostituzione praticamente integrale delle tecnologie utilizzate, è quasi ultimato ma di pari passo non si è sviluppata una precisa cultura della protezione del dato da parte degli operatori sanitari. Su questa gravissima problematica rimandiamo a due contributi dettagliati:
400 milioni di immagini medico / diagnostiche esposte senza protezione sul web: Italia maglia nera in Europa
Ricordate la notizia dei 730 milioni di immagini sanitarie esposte in Internet? Ecco, la situazione è peggiorata

Il dato positivo sollevato dall’intervento della Ciardi riguarda il CNAIPIC: l’Italia, già nel lontano 2005 aveva deciso di dotarsi di un apparato adibito al contrasto di questo tipo di pericoli. In anticipo rispetto a molti stati veniva quindi fondato il Centro Nazionale delle Infrastrutture Critiche: già operante nel 2005 come unità specializzata in seno alla Polizia Postale, il CNAIPIC è stato formalmente istituito nel 2008.

Nonostante questo i problemi restano molteplici e richiederebbero un cambio completo di cultura e una assunzione di responsabilità da parte di enti e aziende rispetto alla gestione dei dati di terzi: proteggere la privacy e tutelarla vuol dire proteggere un luogo di lavoro, la casa, lo spazio virtuale. E quello lo possiamo fare mettendo delle tende o smettendo di usare social, applicazioni o altri sistemi in rete che non prescindono dalle tracciature e da una costante motorizzazione dell’utente. Questo è compito di ciascuno di noi.

Viceversa il GDPR è una norma rivolta verso gli altri, e impone a loro un ben preciso dovere: coloro che ricevono legalmente dati personali altrui, o ne sono nella disponibilità per l’adempimento di obblighi, devono proteggerli, non farseli rubare, non divulgarli, non metterli a disposizione di chi ne fa commercio o un uso per il quale non è stato dato il legittimo consenso.

01[1]

La famiglia di ransomware Xorist attacca in Italia: ma in alcune versioni è risolvibile!

Abbiamo ricevuto richieste di aiuto per decriptare file colpiti da alcune varianti del ransomware Xorist. Tutte le infezioni segnalate recano diverse estensioni post criptazione, ma le analisi hanno portato alla luce come in realtà l’impianto e la routine di criptazione dei diversi campioni di malware siano identici e risalenti tutti allo stesso ceppo di malware: la “storica” famiglia di ransomware Xorist, individuata per la prima volta nel 2016.

Alcune varianti del malware stanno colpendo utenti italiani, ma non è chiaro, per il momento, il metodo di infezione. Fortunatamente i nostri tecnici, col supporto di Dr.Web, sono in grado di risolvere alcune varianti dell’infezione. Chi è stato colpito da questo ransomware può scriverci alla mail alessandro@nwkcloud.com inviandoci due file criptati e la nota di riscatto: procederemo ad analisi e composizione del tool di risoluzione (per maggiori informazioni sul nostro servizio di decriptazione ransomware visitare il sito web https://www.decryptolocker.it/).

A titolo esemplificativo riportiamo i dati di una variante inviataci da una recente vittima di questa infezione: l’estensione di criptazione è .PrOnis, mentre la nota di riscatto è un file rinominato “HOW TO DECRYPT FILES.txt”, l’email di contatto pronis@cock.li.

Qualche informazione tecnica
Come detto, non è ancora chiaro come venga distribuito questo ransomware: le prime analisi mostrano forti similitudini con alcuni ransomware della famiglia Xorist. Quella di Xorist è una famiglia che conta centinaia di diverse estensioni di criptazione e versioni, poiché il malware può essere personalizzato tramite una builder dai potenziali distributori: questione non da poco, dato che rende estremamente difficile per le vittime capire con quale campione di ransomware si abbia a che fare.

La build infatti permette di scegliere l’estensione di criptazione, l’algoritmo di criptazione e perfino selezionare note di riscatto di default o personalizzabili. Gli algoritmi di criptazione più usati da questa famiglia sono TEA (Tiny Encryption Algorithm) e XOR.

I malware di questa famiglia non criptano tutti i tipi di file, ma una serie specifica di tipologie di file, tra i quali troviamo:
.3gp, .7z, .aes, .ahk, .au3, .avi, .bas, .bat, .blob, .bmp, .btc, .c, .c ++, .cc, .cmd, .cpp, .cs .csproj, .cxx, .db, .doc, .docx, .eml, .flac, .flv, .gif, .gzip, .hta, .htm, .html, .jpeg, .jpg, .js,. jscript, .key, .lnk, .manifest, .md, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .nfo, .part, .pdf, .pfx, .php, .php7, .png, .ppt, .pptx, .rar, .rsa, .swf, .tar, .torrent, .txt, .vb, .vba, .vbe, .vbproj, .vbs, .vcxproj, .wallet .wav, .wma, .wmv, .xls, .xlsx, .zip ecc..

Sono tutte estensioni di documento MS Office, di OpenOffice, PDF, file di testo, database, estensioni per immagini, video e audio ecc…

La nota di riscatto
E’ denominata nella quasi totalità dei casi che abbiamo ricevuto come “HOW TO DECRYPT.txt” e vengono richiesti quantità variabili di Bitcoin. Nell’esempio sono richiesti 0.8 Bitcoin, ovvero 7160 euro. La nota di riscatto è un utile indicatore per riconoscere la famiglia di infezione: quasi tutte e segnalazioni inviate infatti utilizzano evidentemente la nota di default, modificando solo l’email di contatto, l’ammontare del riscatto e l’indirizzo Bitcoin.

01[1]

Italia sotto attacco: il ransomware Dharma distribuito con ondate di email di spam

E’ stata individuata una campagna di distribuzione del ransomware Dharma contro utenti italiani via email di spam. Il Ransomware Dharma è attivo ormai da qualche anno e si basa su un’altra, pericolosa, famiglia di ransomware chiamata Crysis. E’ inedito questo metodo di diffusione via spam: Dharma si è sempre contraddistinto per l’installazione tramite RDP hackerati.

La campagna è stata individuata da più fonti e, dall’analisi pubblicata dai ricercatori di TGSoft e dal ricercatore indipendente JAMESWT, emerge che sono due, in realtà, i malware in distribuzione: Dharma, appunto, insieme al ben conosciuto keylogger Ursnif.

Le email di spam

Le email di spam sono camuffate da importanti comunicazioni recanti una falsa fattura. L’oggetto email è del tipo “Fattura n. 637 del 14.01.20”. Colpisce immediatamente la correttezza dell’italiano, anche se sono assenti alcuni segni di punteggiatura. Il testo è “credibile” come comunicazione ufficiale, rendendo molto complesso alle vittime comprendere che si è di fronte ad un falso.

Nell’email si trova un link che dovrebbe puntare sulla presunta fattura: il click sul collegamento porta invece l’utente su una pagina di OneDrive che contiene un file chiamato “Nuovo documento2.zip”. L’utente non deve neppure cliccare sul file: questo viene automaticamente scaricato sulla macchina della vittima non appena visita la pagina.

Il file .zip contiene due file: un file VBS chiamato “Nuovo documento 2.vbs” e un file immagine chiamato “yuy7z.jpg” che mostra i record DNS per il dominio tuconcordancia.com.

Se l’utente esegue il file VBS, verranno installati due differenti payload malware. I ricercatori di TGSoft hanno verificato, da questo punto di vista, un comportamento interessante: all’inizio della giornata lo script VB installava Ursniff, trojan specializzato nel furto dei dati, mentre stamattina il file VBS installava il ransomware Dharma.

La versione di Dharma che viene installata utilizza .ROGER come estensione post criptazione. La nota di riscatto reca come contatto l’indirizzo email sjen6293@gmail.com.

Sotto un esempio di file criptati:

Attualmente non c’è possibilità di riportare in chiaro i file criptati da questo ransomware, che, tra le altre cose, si preoccupa di impedire eventuali meccanismi di ripristino del sistema. L’unica soluzione,ad ora, per riavere indietro i propri file è quella di avere a disposizione un backup degli stessi in sede separata dalla macchina infetta. Dharma infatti cripta anche i dati contenuti nei dispositivi collegati alla macchina.

01[1]

Vendita dati a terze parti: Avast annuncia la chiusura della controllata Jumpshot

Qualche giorno abbiamo dato notizia di un’inchiesta congiunta tra le redazioni di Motherboard e PCMag che ha rivelato come Avast rivendesse a terze parti i dati (dettagliatissimi e abbondanti) raccolti durante la navigazione dagli utenti che utilizzano i suoi servizi. Un episodio che ha acceso, di nuovo, le polemiche contro il famoso vendor di software antivirus, che già qualche mese fa aveva subito la rimozione di alcune sue estensioni dai portali degli add on sia di Mozilla che di Chrome proprio per l’eccesso di dati raccolti, ben oltre quando necessario per il funzionamento delle estensioni stesse e in aperta violazione delle policy privacy dei due popolari browser. Le estensioni sono state reinserite nei portali di Chrome e Mozilla quando Avast ha inserito un chiaro avviso per gli utenti, nel quale è richiesto l’esplicito consenso da parte dell’utente riguardo al tracciamento delle attività via browser.

Per approfondire >>
Le estensioni browser di AVAST e AVG spiano gli utenti su Firefox e Chrome
Report rivela che Avast vende i dati degli utenti a terze parti

Travolta di nuovo dalle polemiche e dopo una riduzione del 9% del valore delle azioni, Avast ha annunciato quindi la chiusura della controllata Jumpshot, tramite la quale erano rivenduti tutti i dati raccolti da suoi software di sicurezza: parliamo di dati molto molto dettagliati (per quanto anonimizzati) di oltre 400 milioni di utenti, che finivano “reimpacchettati” per divenire parte integrante dei servizi offerti sul mercato da Jumpshot. La notizia della chiusura di Jumshot viene direttamente da una lettera aperta del CEO di Avast Ondrej Vlcek, che si scusa anche con gli utenti

“Proteggere le persone è la massima priorità per Avast e deve essere, questa, la costante in tutto quel che riguarda il nostro business e i nostri prodotti. Niente di diverso è accettabile. Per queste ragioni ho deciso, insieme al board aziendale, di terminare la raccolta di dati e di liquidare le operazioni di Jumpshot con effetto immediato”, si legge nella lettera pubblicata sul Blog di Avast.
Ora non resta che vedere se la decisione del board di Avast verrà o meno apprezzata dai suoi utenti o se si registreranno flessioni nel numero di installazioni dei prodotti del noto vendor.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy